Thema der vorliegenden Arbeit ist es, den Zusammenhang herzustellen zwischen technischer beziehungsweise Sicherheitsschuld und den Prozessen der Validierung und Verifikation. Dazu wird im Folgenden dargestellt, welche Einflüsse im Zuge der Softwareentwicklung Sicherheitsschulden bedingen und wie diesen mit der Verifikation und Validierung begegnet werden kann. Weiterhin werden die Common Criteria des ISO/IEC Standards 15408 vorgestellt und deren Einfluss auf den Zusammenhang analysiert.
Nacharbeiten an Software gehören zum alltäglichen Umgang mit sowie zum Entwicklungsprozess von informationstechnischen Systemen und erfolgen in Form von Anpassungen, Updates, Wartung oder Refactoring. Wie in vorherigen Modulen gezeigt wird, kann bereits im Rahmen des Requirements Engineering, der Spezifikation sowie der Architekturerstellung die frühzeitige Erkennung und Behebung von Fehlern deren Manifestation und nachfolgend kostenintensive Nacharbeiten früh verhindert werden. Dieses Vorgehen wird beispielsweise in den Prinzipien der Software-Qualitätssicherung adressiert. Zur Entwicklung von Software gehört ebenfalls das Verständnis, dass die Fehlerfreiheit und Perfektion zwar angestrebt, aber selten erreicht werden kann. Dies gelte folglich auch für die Sicherheit: um die Korrektheit diesbezüglich zu verbessern, erfolge eine Sicherheitsbewertung auf Basis der Verifikation sowie der Validierung der sicherheitsrelevanten Anforderungen. Die Entwicklung funktionsfähiger Software finde sich demnach in einem Spannungsfeld zwischen Leistungsdruck und kostenintensiven Nacharbeiten wieder. Cunningham (1992) umschreibt darauf aufbauend die Auswirkungen einer Softwareentwicklung, die kurzfristige Kundeninteressen oder Beschränkungen wie Lieferfristen gegenüber einer sorgfältigen Implementierung priorisiert, als „Schulden“. Diese seien zunächst förderlich für die Entwicklung eines Objektes, solange sie zeitnah nach der Fertigstellung durch Anpassungen beglichen würden. Ein Aufschieben der Schulden, also das Belassen des fehlerhaften Codes, würde jedoch zu Zinszahlungen („interest“) führen, die abhängig von der Schulden-höhe die Organisation zum Erliegen bringen könnten. Abgeleitet aus dem Begriff der technischen Schuld und im Rahmen des Themenfelds „Security by Design“ von besonderem Interesse, ist die sogenannte Sicherheitsschuld, die beschreibt, wie Designentscheidungen ein technisches Umfeld schaffen, das nicht in der Lage ist, Bedrohungen angemessen zu begegnen.
Inhaltsverzeichnis
- Einleitung
- Sicherheitsschulden
- Definition der Sicherheitsschuld
- Entstehung von Sicherheitsschulden
- Verifikation und Validierung
- Verifikation: Definition und Durchführung
- Validierung: Definition und Durchführung
- Common Criteria ISO/IEC 15408
- Zusammenfassung
Zielsetzung und Themenschwerpunkte
Diese Arbeit untersucht den Zusammenhang zwischen technischer bzw. Sicherheitsschuld und den Prozessen der Validierung und Verifikation in der Softwareentwicklung. Ziel ist es, die Einflüsse auf die Entstehung von Sicherheitsschulden aufzuzeigen und Lösungsansätze mithilfe von Verifikation und Validierung darzustellen. Der ISO/IEC Standard 15408 (Common Criteria) wird ebenfalls analysiert.
- Definition und Charakteristika von Sicherheitsschulden
- Ursachen und Entstehung von Sicherheitsschulden in der Softwareentwicklung
- Rollen der Verifikation und Validierung bei der Vermeidung von Sicherheitsschulden
- Analyse des ISO/IEC Standards 15408 (Common Criteria) im Kontext von Sicherheitsschulden
- Zusammenhang zwischen kurzfristigen Entwicklungszielen und langfristigen Sicherheitsrisiken
Zusammenfassung der Kapitel
Einleitung: Die Einleitung führt in die Thematik der Sicherheitsschulden ein und beschreibt den Kontext der Softwareentwicklung im Spannungsfeld zwischen Leistungsdruck und kostenintensiven Nacharbeiten. Sie stellt den Zusammenhang zwischen technischen Schulden, Sicherheitsschulden und den Prozessen der Verifikation und Validierung her. Die Arbeit fokussiert sich auf die Analyse der Einflüsse auf die Entstehung von Sicherheitsschulden und deren Bewältigung durch Verifikation und Validierung, wobei auch die Common Criteria des ISO/IEC Standards 15408 eine Rolle spielen.
Sicherheitsschulden: Dieses Kapitel definiert den Begriff der Sicherheitsschuld und differenziert ihn von technischen Schulden. Es erläutert das Prinzip der Eventualverbindlichkeit und beschreibt, wie sich Sicherheitsschulden im Betrieb der Software manifestieren (z.B. durch erfolgreiche Angriffe). Zusätzlich werden verschiedene Quellen der Sicherheitsschulden beschrieben, wie z.B. die Begrenzungen von Ressourcen (Zeit und Kosten) und wechselnde Anforderungen im Geschäftsumfeld, sowie Veränderungen des Systemkontextes. Die Ausführungen zeigen die Komplexität des Problems und die Notwendigkeit proaktiver Maßnahmen.
Schlüsselwörter
Sicherheitsschuld, Technische Schuld, Verifikation, Validierung, Softwareentwicklung, ISO/IEC 15408, Common Criteria, Security by Design, Risikomanagement, Softwarequalität, Systemarchitektur.
Häufig gestellte Fragen (FAQ) zu "Sicherheitsschulden in der Softwareentwicklung"
Was ist der Inhalt dieses Dokuments?
Dieses Dokument bietet eine umfassende Vorschau auf eine Arbeit zum Thema Sicherheitsschulden in der Softwareentwicklung. Es beinhaltet ein Inhaltsverzeichnis, eine Beschreibung der Zielsetzung und Themenschwerpunkte, Zusammenfassungen der Kapitel und eine Liste der Schlüsselwörter. Der Fokus liegt auf dem Zusammenhang zwischen Sicherheitsschulden, Verifikation, Validierung und dem ISO/IEC Standard 15408 (Common Criteria).
Was sind die Hauptthemen der Arbeit?
Die Arbeit untersucht den Zusammenhang zwischen technischen/Sicherheitsschulden und den Prozessen der Validierung und Verifikation in der Softwareentwicklung. Konkret werden die Entstehung von Sicherheitsschulden, deren Einflussfaktoren und Lösungsansätze mithilfe von Verifikation und Validierung beleuchtet. Der ISO/IEC Standard 15408 (Common Criteria) spielt ebenfalls eine zentrale Rolle in der Analyse.
Wie wird der Begriff "Sicherheitsschuld" definiert?
Das Dokument definiert den Begriff "Sicherheitsschuld" und differenziert ihn von "technischen Schulden". Es beschreibt, wie sich Sicherheitsschulden im Betrieb der Software manifestieren (z.B. durch erfolgreiche Angriffe) und welche Faktoren zu ihrer Entstehung beitragen (z.B. begrenzte Ressourcen, wechselnde Anforderungen).
Welche Rolle spielen Verifikation und Validierung?
Verifikation und Validierung spielen eine zentrale Rolle bei der Vermeidung und Bewältigung von Sicherheitsschulden. Die Arbeit analysiert, wie diese Prozesse zur Reduktion von Sicherheitsrisiken beitragen und wie sie effektiv eingesetzt werden können.
Welche Bedeutung hat der ISO/IEC Standard 15408 (Common Criteria)?
Der ISO/IEC Standard 15408 (Common Criteria) wird im Kontext von Sicherheitsschulden analysiert. Die Arbeit untersucht, wie dieser Standard zur Verbesserung der Software-Sicherheit beitragen kann und welche Aspekte im Zusammenhang mit der Entstehung und Vermeidung von Sicherheitsschulden relevant sind.
Welche Schlüsselwörter beschreiben die Arbeit?
Schlüsselwörter sind: Sicherheitsschuld, Technische Schuld, Verifikation, Validierung, Softwareentwicklung, ISO/IEC 15408, Common Criteria, Security by Design, Risikomanagement, Softwarequalität, Systemarchitektur.
Welche Kapitel beinhaltet die Arbeit?
Die Arbeit beinhaltet mindestens eine Einleitung und ein Kapitel zu Sicherheitsschulden. Das Kapitel zu Sicherheitsschulden umfasst Unterkapitel zu Definition, Entstehung, Verifikation und Validierung sowie den Common Criteria. Weitere Kapitel sind aus der Zusammenfassung der Kapitel erschließbar.
Was ist die Zielsetzung der Arbeit?
Die Zielsetzung ist es, den Zusammenhang zwischen Sicherheitsschulden, Verifikation, Validierung und dem ISO/IEC Standard 15408 aufzuzeigen und Lösungsansätze zur Vermeidung und Bewältigung von Sicherheitsschulden darzustellen.
- Quote paper
- Lennart Loose (Author), 2022, Security by Design. Security Engineering informationstechnischer Systeme, Munich, GRIN Verlag, https://www.grin.com/document/1266988
